Nul
(Afbeelding: foto bestand)
Uber heeft gezegd dat het zal verwijderen van de code van de iPhone-app security onderzoekers zeggen kon laten de ride-sharing app het scherm, zelfs als de app is afgesloten.
Zal Strafach, een security-onderzoeker, ontdekte deze week dat Uber had verleend, zonder papieren eigen app toestemming om toegang tot het scherm-opname functie. Het is een van de vele “rechten” waarmee ontwikkelaars tik in functies van een iPhone of iPad die normaal off limits zijn voor de meeste app-ontwikkelaars, tenzij zij zijn verleend speciale toestemming van Apple.
Veel tv-opname apps gebruik maken van dit recht, zonder toestemming, zoals iRec, die op jailbroken apparaten.
Strafach zei dat zijn kennis, gebaseerd op duizenden app binaries hij heeft geïndexeerd, Uber is de enige app van derden die kreeg een eigen recht.
Andere iPhone en iPad app ontwikkelaars zei dat de actie was ongekend.
Apple expert en jailbreak-auteur Luca Todesco vertelde ZDNet dat het een “extreem gevaarlijke use case.”
Todesco uitgelegd dat het specifieke recht, bekend als “com.apple.privé.toestaan-expliciete-graphics-prioriteit,” stelt de ontwikkelaar in staat om te lezen of te schrijven naar de iPhone framebuffer, een deel van het geheugen van de telefoon bevat pixel en weergeven van de gegevens. “Schrijven is altijd mogelijk om vanuit een app met normale weergave diensten, die tekenen te framebuffer op uw naam,” zei hij. “Verder te lezen kunt u kijken op het scherm van het apparaat.”
“Het is het equivalent van het geven van keylogging mogelijkheid om apps,” zei hij.
Hij waarschuwde ook dat het wordt “een belangrijke zwakte” om de gebruikers van de Uber app, omdat het verkrijgen van code-uitvoering rechten zou een aanvaller log gebruiker referenties. “Het schetst een vrij grote doelgroep op de top van de app,” zei hij.
“Ik vind dit heel beangstigend en gevaarlijk,” zei hij.
Een Uber-woordvoerder zei dat de code werd gebruikt voor het verbeteren van de weergave op het Apple-Horloge-app.
“Het is niet verbonden met iets anders in onze huidige codebase en de diff [sic] om het te verwijderen is al naar buiten geduwd in de productie”, zei een woordvoerder. “Deze API zou toestaan kaarten te maken op uw telefoon in de achtergrond, en dan verzonden worden naar uw Apple Horloge,” ze toegevoegd.
“Alle volgende updates van Apple Kijken en onze app verwijderd deze afhankelijkheid, dus we verwijderen de API helemaal,” zei de woordvoerder.
Het is de laatste in een lange geschiedenis van privacy-problemen en schendingen gecentreerd op Uber en de bijbehorende app.
Het is de laatste in een lange geschiedenis van soortgelijke Uber-gerelateerde privacy-kwesties, met inbegrip van programma ‘s gebruikt voor het bijhouden van stuurprogramma’ s van concurrerende dienst Lyft, en andere geheime programma ‘ s gericht op het ontdekken van en het frustreren van de inspanningen van de rechtshandhaving en undercover autoriteiten.
De New York Times meldde eerder dit jaar dat Apple chief executive Tim Cook dreigde te schoppen Uber uit de Apple App Store na Uber was betrapt op het overtreden van de regels door het volgen van iPhones nadat de app is verwijderd.
Strafach zei dat hij niet wist hoe, “zelfs na [Uber] eerder misbruikt” de regels, Uber nog steeds “overtuigd van Apple om hen te laten hebben exclusieve toegang tot deze bevoorrechte” recht.
“Het lijkt erop dat ze kreeg een speciale behandeling en niet willen toegeven,” zei hij.
Als deze bereikt wordt, een Apple-woordvoerder geen opmerkingen.
Neem Contact met mij goed
Zack Whittaker kan worden bereikt stevig Signaal en WhatsApp op 646-755-8849, en zijn PGP vingerafdruk voor e-mail is: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Lees Meer
ZDNET ONDERZOEKEN
Gelekt TSA documenten onthullen in New York airport golf van gebrekkige beveiliging
AMERIKAANSE regering geduwd tech bedrijven om de hand over de source code
Bij de AMERIKAANSE grens: Gediscrimineerd, vastgehouden, gezocht, ondervroeg
Miljoenen klant van Verizon records blootgesteld in veiligheid te vervallen
Aan de schimmige tech makelaars dat levert de data voor de NSA
Binnen de wereldwijde terreur watchlist dat in het geheim schaduwen miljoenen
FCC-voorzitter gestemd voor het verkopen van uw browsegeschiedenis, dus hebben we gevraagd te zien zijn
Met een enkele aftappen om de AMERIKAANSE autoriteiten luisterden in op 3,3 miljoen telefoongesprekken
198 miljoen Amerikanen getroffen door de grootste ooit’ kiezer records lek
Groot-brittannië heeft doorgegeven ‘de meest extreme toezicht wet ooit voorbij in een democratie’
Microsoft zegt ‘geen bekende ransomware’ draait op Windows, 10 S, dus hebben we geprobeerd om te hacken
Uitgelekt document onthult de BRITSE plannen voor een bredere internet surveillance
0